Algunos usuarios Manzanacon dispositivos iPhone, Mac Y iPadhan sido y siguen siendo víctimas de un ataque sofisticado, definido Bombardeo de empuje. Consiste en una secuencia frecuente de notificaciones de restablecimiento de contraseña. Los iPhone son los más afectados y quedan inutilizables. METRO¿Cómo funciona esta técnica? Y qué hacer en caso de un ataque?
Recientemente se ha atacado a personalidades de los campos de la tecnología y la inteligencia artificial, cuyos datos e información confidenciales pueden ser valiosos para los malos actores. Por lo tanto, un ataque dirigido a personas cuya información de contacto estaba de alguna manera disponible en línea.. La primera víctima del ataque que documentó cada paso es el usuario de Parth Patel, emprendedor activo en el campo de la IA generativa. Una vez fallido el ataque en su contra, informó en la red social cómo advertir a otros usuarios. El objetivo de los atacantes era robar su ID de Apple mediante la técnica de phishing, perpetrada esta vez con mayor precisión.
La técnica estudiada en detalle.
Según relató el usuario, los delincuentes obtuvieron sus datos Osint (Open Source INTelligence), es decir, información recopilada de fuentes de acceso público; De hecho, los sitios web, las redes sociales u otros recursos pueden ser un depósito de información, particularmente sensible, especialmente si usted es, como en el caso de Patel, fundador de alguna realidad digital o está activo en la IA.
Una vez que tengamos su información, todos sus dispositivos Apple mostraron una notificación de solicitud de restablecimiento de contraseña. Dado que estas son alertas del sistema, no te permiten usar el dispositivo en el que aparecen estas notificaciones. Bastaría con tocar “No permitir” para poder volver a utilizar los dispositivos: pero la víctima estaba allíliteralmente bombardeado con notificaciones (de ahí el nombre del ataque Push Bombing). Según el usuario que informó por primera vez sobre el método, Hubo más de 100 notificaciones de restablecimiento de contraseña..
La segunda parte del ataque.
Unos minutos después, Los atacantes utilizaron la técnica de suplantación de identidad de llamadas.. Explicado en palabras sencillas, los atacantes utilizaron una herramienta que permite replicar un número de teléfono oficial, incluso si en realidad no lo utilizas. Con este software, los piratas informáticos pueden enmascarar su número de teléfono con un número aparentemente confiable. En el caso de Patel, Se utilizó un número de teléfono de soporte oficial de Apple.. Esta técnica es útil para ganarse la confianza de la víctima y robar información confidencial. Los delincuentes han recopilado mucha información sobre Patel. Fecha de nacimiento, dirección de correo electrónico, número de teléfono, domicilio y registros anteriores; en definitiva, un ataque preciso, dirigido y sofisticado. ¿Pero qué información querían de Parth??
¡No compartas la OTP con nadie!
La autenticación de dos factores envía un código de corta duración que se genera de vez en cuando. Esto puede enviarse por correo electrónico, SMS o distribuirse mediante aplicaciones como Authenticator. Las empresas siempre son muy claras en estos mensajes: el código nunca debe compartirse con nadie. Tener este código otorga acceso completo a una cuenta específicaporque podrá permitir el cambio de contraseña, dirección de correo electrónico y toda otra información que sea posible. perder el acceso completo a su cuenta y a todo el material asociado a ellacomo fotografías, documentos, etc.
Obviamente los hackers que diseñaron este sofisticado ataque, realmente querían el código Otp y llamaron a Patel para convencerlo de que se lo diera.. El bombardeo push solicitó el restablecimiento de la contraseña en más de 100 notificaciones. Presionar por accidente (o intencionalmente) habría enviado un código Otp para resetearlo. Comunicar el código a los atacantes, les habría permitido robar la cuenta de la víctima.
Cómo defenderse del ataque
Como casi todo ataque de este tipo, la técnica subyacente es el phishing. Proviene del verbo inglés “to fish”, porque los hackers generalmente lanzan el cebo, pero con mayor alcance, con la esperanza de que alguien “muerda el anzuelo”. Pero este ataque es completamente diferente, porque es dirigido y utiliza múltiples técnicas.: phishing, técnicas de ingeniería social y spoofing. Estos tres modos intentan infundir confianza en la víctima, convenciéndola de que se trata de canales auténticos. El final es siempre el mismo: robar cuentas con datos valiosos en su interior.
En este caso también se explota una supuesta falla en el sistema de seguridad de Apple. Con el envío masivo de estas notificaciones que inutilizan todos los dispositivos, “paralizan” los dispositivos del usuario quién debe rechazar las solicitudes de restablecimiento de contraseña cada vez, con la posibilidad de presionar «Permitir» por error y recibir el código Otp. Comunicarlo por error corre el riesgo de comprometer la seguridad de sus datos y ser baneado de tu cuenta.
){kind=link}